Réformes britanniques sur la protection des données : s'agit-il vraiment d'une "nouvelle direction" ?
Le Royaume-Uni ayant quitté l'Union Européenne et n'est donc plus soumis à l'obligation de répondre au RGPD, la liberté de mettre en place un nouveau cadre juridique national pour la protection des données personnelles s'exprime peu à peu.
Dans la continuité de la nouvelle stratégie des données révélée en 2020[1], le Département britannique du Numérique, de la Culture, des Médias et du Sport (DCMS) a lancé le 10 septembre 2021 une consultation sur les réformes britanniques en matière de protection des données[2]. Visant à garantir la sécurité de l'innovation technologique, cette consultation constitue une étape clef dans la construction de la politique post-Brexit de protection des données au Royaume-Uni, qui repose sur les exigences du RGPD[3].
Les propositions britanniques : une stratégie laxiste ?
Le document de consultation, intitulé "Data : a new direction", compte 146 pages et contient une série de propositions qui touchent à différentes thématiques du RGPD. Contrairement à ce qu'annonce le Gouvernement, les mesures présentées tendent vers un assouplissement du niveau de protection actuel. Aux yeux du Gouvernement, cette démarche s'inscrit dans une volonté de réduire les contraintes liées au partage des données et ce, dans un souci de promouvoir la croissance économique.
La Responsabilité
Les évolutions les plus marquantes concernent la responsabilisation des acteurs, un des principes clés du RGPD. Afin de réduire les coûts liés à la conformité pour les entreprises, un nouveau mécanisme est proposé consistant à imposer aux organismes d'élaborer et de mettre en œuvre un "programme de gestion de la vie privée" (privacy management programme). Cette nouveauté implique une suppression ou encore une modification de plusieurs exigences du RGPD :
▪ Suppression de l'obligation de désigner un délégué à la protection des données
▪ Suppression de l'obligation de procéder à des analyses d'impact relatives à la protection des données
▪ Suppression de l'obligation de tenir un registre des activités de traitement
▪ Introduction d'un modèle de tarification pour les demandes des personnes concernées relatives au droit d'accès
▪ Modification des conditions de notification des violations des données à l'autorité de contrôle
▪ Suppression de l'obligation de consultation préalable de l'autorité de contrôle.
Cookies et marketing direct
Les propositions prévoient d'assouplir les exigences de consentement en matière de cookies et de marketing direct. Il est ainsi suggéré :
▪ d'autoriser les organismes à recourir à des cookies analytiques et autres traceurs sans le consentement de l'utilisateur, tout en les considérant comme étant "strictement nécessaires".
▪ de permettre aux organismes à but non lucratif d'opter pour le "soft opt-in" pour adresser des messages de marketing direct.
Transferts internationaux des données
La Consultation consacre un chapitre entier aux transferts internationaux. De nombreux propos ambitieux sont évoqués quant à la volonté de multiplier le nombre de pays que le Royaume-Uni considère comme "adéquats", ce afin de favoriser les transferts internationaux de données. Le Gouvernement a également l'intention de revoir les mécanismes de transfert alternatifs, à utiliser dans le cas où aucune décision d'adéquation n'a été adoptée.
Changements prévus auprès de l'ICO
La Consultation prévoit des réformes quant au fonctionnement et aux pouvoirs de l'autorité de contrôle " Information Commissioner's Office (ICO) ". Les propositions ont pour objectif de lui attribuer de nouvelles responsabilités, de définir de nouveaux objectifs stratégiques à suivre et de conférer au Gouvernement un contrôle plus étendu sur l'ICO.
Innovation et règles légales
Tout en critiquant la présentation générale de la règlementation et afin de limiter les obstacles liés à la recherche et à l'innovation causés par des règles strictes, incomplètes ou encore fragmentaires, il est proposé :
▪ de recourir à des règles dynamiques et suffisamment souples pour s'adapter à l'évolution rapide des technologies utilisant des données.
▪ d'assurer une meilleure clarté de la législation sur les données personnelles tout en introduisant des directives sur l'application pratique de la règle.
▪ de présenter les considérants, servant de guide explicatif et interprétatif, dans la partie consacrée aux articles afin d'inciter les organismes à s'y référer pour élaborer leur analyse ou plan d'action. Il est envisagé à titre d'exemple de faire apparaître dans un article les critères dont il faut tenir compte pour déterminer si les données sont anonymisées ou pas tout en détaillant l'analyse devant être menée.
[1] Policy paper, National Data Strategy, 9 December 2020
[2] Open consultation-Department for Digital, Culture, Media & Sport, "Data : a new direction", 10 September 2021
[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).